对于ACL访问控制在vlan间设置的一些见解

查过许多篇文章以后，很多文章都得出了一个结论：

        在vlan间的acl中当源地址段为应用 vlan接口的ip段时，就是用in方向；

        当目的地址段为应用vlan接口的ip段时，就是用out方向;

这边对这个结论进行一个猜想：

        首先我们需要知道一点点别的知识，这边在这边做一个简单的说明：
        首先我们都知道，TCP/IP体系中存在四层，分别是： 应用层，传输层，网络层，链路层

我们如果要进行一个数据传输的话，数据处于应用层的话，落实在传输上面的话就是从上往下走进行一个数据封装，然后在进行一个对应的传输，然后这个时候当数据包到达预定位置以后，我们的数据报是要进行一个从下往上的解包操作的，这样才能从下往上在应用层拿到数据，所以这边就是一个数据封装与解包的过程。

        好了这个时候我们的前置知识就已经说完了。然后这个时候如果说有两个网段，一个内网一个外网，像这样：

        

 

首先这个in跟out都是相对的，这个不用纠结。

然后这个时候如果说

我在网段1去ping一下网段2的主机，如果没有做任何的访问控制，在正常情况下，这个时候肯定是能通的，那这个时候我如果在网段2的vlan上的in口打了一个acl类似这样的：
permit IP any host 网段2的某一主机

这个时候由于acl访问控制默认拒绝所有，这个意图的话就很明显了，如果有去做实验的话，可以知道这个是ping不通这个host所指定的主机的，那如果将这个acl配置换到out口的话这个时候又是可以的，那这个时候我是不是可以说这个数据包没有进到这个vlan设备中所以不能走通，这个时候，我如果打一个ip any any应该就是可以的，有想法的可以去试试。

好了这边得出猜想，一个数据包走到vlan内部是会进行一个解析的，为了不配置出错，以及预防意外的情况，我们会将这个数据包放进vlan内部让他进行一个解析，然后解析过后这个数据包就要往对应的地方走，那么这个时候我们在vlan的out位置给他来一个限制的话，这个时候不就达到我们想要的效果 了，至于如果说你一定要配置在in口上的也可以，但是你会配置一个IP any any，放行所有，这个时候你觉得会放心嘛。这个范围可是很大的奥，至于配置在in口上要多一个ip any any，笔者认为这边是做了一个数据包解析的作用。

大体解析就是这些。

问题是到了这个vlan内部以后是不是真的会进行一个解包

这边只是笔者的一个猜想，作为一个路由小白，发现要学的东西还有很多，有错的话，还请多多指教。